“장비 전부 바꿔야 하나”… ‘미토스 쇼크’에 금융권 보안 고심

“AI 해킹 AI로 막는다” 금융사 준비 분주
금융 당국도 제도 개선 검토

미국 인공지능(AI·Artificial Intelligence) 기업 앤스로픽의 ‘클로드 미토스 프리뷰(미토스)’에 세계 금융권이 긴장하고 있다. 미토스가 소프트웨어의 보안 취약점을 찾아내고 공격 코드까지 만드는 것으로 확인되면서 금융사들은 AI 해킹 위협에 직면했다.

미토스는 해킹을 위해 개발된 AI가 아니다. 기존 모델 대비 코딩과 추론, 사이버 보안 성능을 끌어올리는 과정에서 이런 능력이 발견됐다. 앤스로픽이 공개한 테스트 결과에 따르면, 미토스는 27년간 발견되지 않았던 운영체제의 취약점을 찾아냈고, 자동화 도구가 500만 번 검사하고도 16년 동안 잡지 못한 소프트웨어 결함도 탐지했다.

이미 미국과 유럽 금융사들은 미토스와 같은 고성능 AI 도입을 추진하고 있다. 국내 금융 당국과 금융사들도 대책 마련을 고심 중이다.

일러스트=챗GPT

2일 금융권에 따르면 금융위원회는 지난달 15일 권대영 부위원장 주재로 금융감독원, 금융보안원, 은행·보험권 최고정보보호책임자(CISO) 등을 소집해 긴급 점검 회의를 열었다. 같은 달 13일 금감원도 금융권 보안 실무자들과 만나 관련 회의를 가졌다.

미토스 등 고성능 AI 모델이 해킹 등 금융권 보안 침해에 악용될 수 있다는 우려가 커지자 금융 당국과 금융사들이 대책 마련에 나선 것이다. 회의에선 미토스 등 고성능 AI 영향과 대응 방안 등을 논의했다.

금융 당국과 금융사들은 ‘AI 해킹 공격은 AI로 막아야 한다’는 데 공감대를 형성한 것으로 전해졌다. 금융 당국은 금융사의 고성능 AI 도입을 위한 망분리(금융사 내외부 통신망을 분리) 규제 등 제도 정비를 검토하고 있다. 금융사의 사이버 보안 책임을 강화하는 방안도 마련할 계획이다.

금융권에선 노후된 기존 보안 시스템으로 고성능 AI 공격에 대응할 수 없다는 우려가 나온다. 금융사 보안은 새로운 시스템과 수십 년간 사용한 인프라를 함께 쓰는 경우가 많다. 글로벌 보안 전문가들은 이런 형태의 보안 시스템을 갖춘 기업일수록 고성능 AI 공격에 취약하다고 경고한다.

일부 대형 은행은 보안 시스템 운영 체제와 장비를 전면 교체하는 방안까지 검토하고 있다. 한 시중은행 관계자는 “AI 공격에 패치(보안 결점 보완 소프트웨어)로 대응하는 것은 한계가 있다. 내부적으로 시스템을 전면 교체해야 하는 것 아니냐는 논의도 있다”고 말했다.

앤쓰로픽의의 보안 강화 이니셔티브 '프로젝트 글래스윙' 이미지. /앤쓰로픽 블로그

대형 금융사들은 서비스를 공급하는 외부 업체에 대한 AI 공격이 본사 시스템까지 위협하는 시나리오도 살펴보고 있다. 금융권 관계자는 “클라우드나 AI 서비스를 공급하는 기업에 AI 해킹이 발생할 경우 리스크가 전이될 수도 있다”고 했다.

금융권에선 미토스 관련 취약점 정보가 대대적으로 공개될 것으로 예상되는 7월 이전까지 대응 방안을 마무리해야 한다는 지적이 나온다.

미국과 유럽 금융사는 ‘미토스 쇼크’에 발 빠르게 움직이고 있다. 현재 이 모델은 미국의 JP모건체이스, 뱅크오브아메리카(BoA) 등 일부 대형 금융사를 포함해 약 40개 핵심 인프라 관련 기관에서 시험 중인 것으로 알려졌다.

유럽중앙은행(ECB)도 최근 유럽 내 은행들을 상대로 미토스 관련 위험을 점검했다. 유럽과 영국의 은행들은 앤스로픽에 미토스 접근 권한을 요청한 것으로 전해졌다. 이상근 고려대 AI 보안연구소장은 “미토스는 미래의 위협이 아니라 당면 과제”라며 “이미 수천 건의 보안 공격이 발견된 상황에서 (7월에 예정된) 공개 시점에는 한국도 대응을 끝내야 한다”고 말했다.

- Copyright ⓒ 조선비즈 & Chosun.com -